W zeszłym tygodniu Cisco poinformowało klientów o poważnej luce w przełącznikach serii Nexus 9000, mogącej umożliwić nieuwierzytelnionym atakującym przechwytywanie i modyfikowanie ruchu.
Podatność sklasyfikowano jako CVE-2023-20185. Dotyczy ona funkcji szyfrowania ACI CloudSec w wielu lokalizacjach przełączników Nexus 9000, które są skonfigurowane w trybie infrastruktury zorientowanej na aplikacje (ACI) – zwykle używanym w centrach danych do kontrolowania środowisk fizycznych i wirtualnych.
Problem z implementacją szyfrów używanych przez funkcję szyfrowania CloudSec umożliwia zdalnemu, nieuwierzytelnionemu atakującemu przechwycenie zaszyfrowanego ruchu między witrynami i złamanie szyfrowania przy użyciu technik kryptograficznych. Osoba atakująca może następnie odczytać lub zmodyfikować ruch.
„Ta luka dotyczy przełączników Cisco Nexus 9000 Series Fabric w trybie ACI, które działają w wersji 14.0 i nowszych, jeśli są częścią topologii wielu lokalizacji i mają włączoną funkcję szyfrowania CloudSec”, wyjaśnia Cisco w poradniku.
Problem dotyczy stałych przełączników kręgosłupa Nexus 9332C i Nexus 9364C oraz przełączników Nexus 9500 wyposażonych w kartę liniową Nexus N9K-X9736C-FX.
Cisco nie wydało poprawek eliminujących lukę i zaleca klientom korzystającym z wrażliwych przełączników wyłączenie funkcji szyfrowania CloudSec w wielu lokalizacjach ACI.
Wraz z powyższymi informacjami producent wydał aktualizację oprogramowania. Ma ona rozwiązać cztery problemy o średniej wadze w Webex Meetings, Duo Authentication Proxy i BroadWorks. Jednocześnie Cisco informuje, że pomyślne wykorzystanie „średnich” luk może prowadzić do ataków cross-site scripting (XSS) lub cross-site request forgery (CSRF), wycieków informacji i eskalacji uprawnień.
Producent twierdzi, że nie posiada wiadomości na temat żadnych złośliwych ataków ani upublicznionego kodu potwierdzającego koncepcję (PoC), ukierunkowanego na te luki.
To nie jedyne kłopoty Cisco, jakie pojawiły się w ostatnim czasie. Pod koniec czerwca analityk bezpieczeństwa Filip Dragovic opublikował kod sprawdzający koncepcję (PoC), dotyczący niedawno załatanej luki w zabezpieczeniach Cisco AnyConnect Secure Mobility Client i Secure Client dla systemu Windows.
Jest to oprogramowanie, które umożliwia zdalnym pracownikom łączenie się z siecią organizacji za pomocą bezpiecznej wirtualnej sieci prywatnej (VPN) i zapewnia możliwości monitorowania.
Wada bezpieczeństwa śledzona jako CVE-2023-20178 (wynik CVSS 7,8) wpływa na proces aktualizacji oprogramowania klienta, umożliwiając lokalnemu atakującemu o niskich uprawnieniach podniesienie poziomu dostępu i wykonanie kodu z uprawnieniami systemowymi.
„Ta luka w zabezpieczeniach istnieje, ponieważ do katalogu tymczasowego, który jest tworzony podczas procesu aktualizacji, przypisano niewłaściwe uprawnienia. Osoba atakująca może wykorzystać tę lukę, nadużywając określonej funkcji procesu instalatora systemu Windows” – wyjaśnia Cisco w poradniku.
Ogólnie rzecz biorąc, jest to problem z usunięciem dowolnego folderu. Może zostać wywołany podczas procesu aktualizacji oprogramowania, gdy tworzony jest folder tymczasowy do przechowywania kopii modyfikowanych plików. Umożliwia to wycofanie zmian, jeśli proces instalacji nie zostanie zakończony.
Osoba atakująca ze znajomością tego folderu tymczasowego może uruchomić exploita zawierającego plik wykonywalny przeznaczony do uruchamiania procesu aktualizacji, ale w trakcie wycofywania zmian. Jednocześnie exploit nieustannie próbuje zastąpić zawartość folderu tymczasowego szkodliwymi plikami.
Po zatrzymaniu procesu aktualizacji system Windows próbuje przywrócić pliki w folderze tymczasowym do ich pierwotnej lokalizacji, ale zamiast tego wykorzystuje złośliwą zawartość atakującego.
Badacz informuje, że przetestował PoC na Secure Client w wersji 5.0.01242 i AnyConnect Secure Mobility Client w wersji 4.10.06079. Dotyczy to tylko iteracji oprogramowania systemu Windows.
Firma Cisco zajęła się luką CVE-2023-20178 na początku czerwca, wydając oprogramowanie AnyConnect Secure Mobility Client w wersji 4.10.07061 i Secure Client w wersji 5.0.02075.